Часто задаваемые вопросы о Центре идентификации AWS IAM

Вопрос. Что такое Центр идентификации AWS IAM?

IAM Identity Center создан на базе AWS Identity and Access Management (IAM) для упрощения управления доступом к нескольким аккаунтам AWS, приложениям AWS и другим облачным приложениям с поддержкой SAML. В IAM Identity Center вы создаете или подключаете своих рабочих пользователей для использования в AWS. Контролируется как доступ только к своим аккаунтам AWS, так и к облачным приложениям или и то, и другое. Вы можете создавать пользователей непосредственно в IAM Identity Center, а можете перенести их из существующего каталога персонала. IAM Identity Center – это единый административный интерфейс для точного определения, настройки и выдачи доступов. Ваши сотрудники получают пользовательский портал для доступа к назначенным аккаунтам AWS или облачным приложениям.

Вопрос. В чем преимущества использования IAM Identity Center?

IAM Identity Center можно использовать, чтобы просто и быстро обеспечить доступ сотрудников к нескольким аккаунтам AWS, облачным приложениям, поддерживающим SAML (например, Salesforce, Microsoft 365 и Box), приложениям собственной разработки, а затем централизованно управлять этим доступом. Сотрудники могут работать более продуктивно, входя в систему с помощью существующих учетных данных или учетных данных, которые вы настраиваете в IAM Identity Center. Они могут использовать единый персонализированный пользовательский портал. Сервис улучшает контроль над использованием облачных приложений, так как позволяет централизованно выполнять мониторинг и аудит авторизации с использованием AWS CloudTrail.

Вопрос. Какие проблемы решает IAM Identity Center?

IAM Identity Center устраняет административные сложности, связанные с объединением и управлением разрешениями отдельно для каждого аккаунта AWS. Он позволяет настраивать приложения AWS из единого интерфейса и назначать доступ к облачным приложениям из единого места.
IAM Identity Center решает проблему ограниченной наглядности за счет интеграции с AWS CloudTrail и предоставляя единый центр для аудита доступа по технологии единого входа к аккаунтам AWS, а также облачным приложениям, поддерживающим SAML (например, Microsoft 365, Salesforce и Box).

Вопрос. Зачем мне использовать IAM Identity Center?

IAM Identity Center – это рекомендуемая нами входная дверь в AWS. Он должен стать вашим основным инструментом для управления доступом к AWS пользователей из числа ваших сотрудников. Он позволяет управлять идентификационными данными в предпочитаемом источнике идентификации, подключать их один раз для использования в AWS, позволяет определять тонкие разрешения и применять их последовательно для всех аккаунтов. По мере увеличения количества ваших аккаунтов IAM Identity Center дает вам возможность использовать его как единое место для управления доступом пользователей ко всем вашим облачным приложениям.

Вопрос. Как мне использовать IAM Identity Center?

IAM Identity Center можно использовать, чтобы просто и быстро предоставить сотрудникам доступ к нескольким аккаунтам AWS, управляемым с помощью сервиса «Организации AWS», облачным бизнес-приложениям (например, Salesforce, Microsoft 365 и Box) и собственным приложениям, поддерживающим язык разметки декларации безопасности (SAML) 2.0. Сотрудники могут использовать существующие корпоративные учетные данные или учетные данные, настроенные в IAM Identity Center, для доступа к бизнес-приложениям из единого пользовательского портала. IAM Identity Center позволяет осуществлять аудит доступа пользователей к облачным сервисам с помощью AWS CloudTrail.

Вопрос. Зачем мне использовать IAM Identity Center?

IAM Identity Center предназначен для администраторов, которые управляют несколькими аккаунтами AWS и бизнес-приложениями и хотят организовать централизованный доступ пользователей к этим облачным сервисам, а также предоставить сотрудникам единый центр для доступа к аккаунтам и приложениям без необходимости запоминать дополнительный пароль.

Вопрос. Как начать работу с IAM Identity Center?

Как новому клиенту IAM Identity Center вам следует:

1. Войти в Консоль управления AWS аккаунта менеджера в AWS и перейти в консоль IAM Identity Center.
2. Выбрать каталог, используемый для хранения удостоверений пользователей и групп на консоли IAM Identity Center. По умолчанию IAM Identity Center предоставляет каталог, который можно использовать для управления пользователями и группами в IAM Identity Center. Вы также можете сменить каталог и подключиться к каталогу Microsoft AD, просмотрев список инстансов Managed Microsoft AD и AD Connector, которые IAM Identity Center автоматически обнаруживает в вашем аккаунте. Если вы хотите подключиться к каталогу Microsoft AD, см. раздел Начало работы с сервисом каталогов AWS.
3. Предоставить пользователям доступ по технологии единого доступа к аккаунтам AWS организации: выбрать аккаунты из списка, заполненного IAM Identity Center, а затем выбрать пользователей или группы из каталога и установить для них нужные разрешения.
4. Предоставить пользователям доступ к облачным бизнес-приложениям следующим образом.
   а) Выбрать одно приложение из списка заранее интегрированных приложений, поддерживаемых в IAM Identity Center.
   б) Настроить приложение согласно инструкциям по настройке.
   в) Выбрать пользователей или группы, у которых должен быть доступ к этому приложению.
5. Предоставить пользователям интернет-адрес для входа в IAM Identity Center, созданный при настройке каталога. Пользователи смогут выполнять вход в IAM Identity Center и получать доступ к аккаунтам и бизнес-приложениям.

Вопрос. Сколько стоит использование IAM Identity Center?

Дополнительная плата за использование сервиса IAM Identity Center не взимается.

Вопрос. В каких регионах доступен IAM Identity Center?

Сведения о доступности IAM Identity Center по регионам см. в таблице регионов AWS.

Какие источники удостоверений можно использовать с IAM Identity Center?

На портале Центра идентификации IAM можно создавать пользовательские удостоверения и управлять ими, а также легко подключаться к уже существующим источникам удостоверений, например Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (ранее Azure AD) или другому поддерживаемому поставщику удостоверений. Подробнее см. в руководстве пользователя Центра идентификации IAM.

Вопрос. Можно ли подключить к IAM Identity Center несколько источников удостоверений?

Нет. В любой момент времени к IAM Identity Center может быть подключено не более одного каталога или поставщика удостоверений SAML 2.0. Однако можно сменить один подключенный источник удостоверений на другой.

Вопрос. Какие поставщики удостоверений SAML 2.0 можно использовать в Центре идентификации IAM?

Вы можете подключить Центр идентификации IAM к большинству поставщиков удостоверений SAML 2.0, таких как Okta Universal Directory или Microsoft Entra ID (ранее Azure AD). Подробнее см. в руководстве пользователя Центра идентификации IAM.

Вопрос. Повлияет ли включение Центра идентификации IAM на какие-либо из моих существующих ролей, пользователей или политик IAM?

Нет, Центр идентификации IAM не изменяет существующие роли, пользователей или политики IAM в аккаунтах AWS. Он создает новые роли и политики специально для использования в Центре идентификации IAM.

Вопрос. Как можно предоставить удостоверения от существующего поставщика идентификации (IdP) в Центр идентификации IAM?

Прежде чем вы сможете назначать разрешения, требуется предоставить в Центр идентификации IAM удостоверения от существующих поставщиков. Вы можете автоматически синхронизировать информацию о пользователях и группах из Okta Universal Directory, Microsoft Entra ID (ранее Azure AD), OneLogin и PingFederate, используя стандарт системы управления междоменными удостоверениями (SCIM). Для других поставщиков удостоверений можно создавать пользователей от вашего поставщика удостоверений в консоли Центра идентификации IAM. Подробнее см. в руководстве пользователя по Центру идентификации IAM.

Вопрос. Нужно ли мне переходить в Центр идентификации IAM сразу или можно делать это постепенно?

После включения Центра идентификации IAM все существующие роли или пользователи IAM будут продолжать работать «как есть». Это означает, что вы можете перейти в Центр идентификации IAM поэтапно, не нарушая существующий доступ к AWS.

Вопрос. Как перенести существующие роли в Центр идентификации IAM?

Центр идентификации IAM предоставляет новые роли для использования в ваших аккаунтах AWS. К новым ролям, используемым в Центре идентификации IAM, можно присоединить те же политики, что и к существующим ролям IAM.

Вопрос. Создает ли Центр идентификации IAM пользователей и группы IAM в моих аккаунтах AWS?

Центр идентификации IAM не создает пользователей и группы IAM. Он имеет собственное специализированное хранилище идентификаций для хранения информации о пользователях. При использовании внешнего поставщика идентификации Центр хранит синхронизированную копию атрибутов пользователей и сведений о членстве в группах без материалов для аутентификации, таких как пароли или устройства MFA. Ваш внешний поставщик идентификации остается источником достоверной информации и атрибутов пользователей.

Вопрос. Можно ли автоматизировать синхронизацию удостоверений в Центре идентификации IAM?

Да. Если вы используете Okta Universal Directory, Microsoft Entra ID (ранее Azure AD), OneLogin или PingFederate, можно применять SCIM для автоматической синхронизации информации о пользователях и группах между поставщиком удостоверений и Центром идентификации IAM. Подробнее см. в руководстве пользователя Центра идентификации IAM.

Вопрос. Как подключить IAM Identity Center к моей Microsoft Active Directory?

Вы можете подключить IAM Identity Center к корпоративному каталогу Active Directory (AD) или AWS Managed Microsoft AD с помощью сервиса каталогов AWS. Подробнее см. в руководстве пользователя IAM Identity Center.

Вопрос. Я управляю пользователями и группами в Active Directory локально. Как мне применить эти группы и отдельных пользователей в IAM Identity Center?

Для подключения локальной версии Active Directory к IAM Identity Center существует два варианта: (1) использовать AD Connector или (2) использовать доверенный канал AWS Managed Microsoft AD. AD Connector просто подключает существующий локальный каталог Active Directory к AWS. AD Connector – это шлюз, с помощью которого вы можете перенаправить запросы к каталогу в локальное развертывание Microsoft Active Directory без кэширования информации в облаке. Подробнее о подключении локального каталога с помощью AD Connector вы можете узнать в Руководстве администратора по сервису каталогов AWS. AWS Managed Microsoft AD упрощает настройку и запуск Microsoft Active Directory на платформе AWS. Ее можно использовать для настройки леса доверенных каналов между локальным каталогом и AWS Managed Microsoft AD. Подробнее о настройках доверенных каналов можно узнать в Руководстве администратора по сервису каталогов AWS.

Вопрос. Можно ли использовать пулы пользователей Amazon Cognito в качестве источника удостоверений в IAM Identity Center?

Amazon Cognito – это сервис, который помогает в управлении удостоверениями для взаимодействующих с клиентом приложений. Он не поддерживается в Центре идентификации IAM как источник удостоверений. Вы можете создавать пользовательские удостоверения и управлять ими через Центр идентификации IAM или внешний источник удостоверений, например Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (ранее Azure AD) или другого поддерживаемого поставщика удостоверений.

Вопрос. Поддерживает ли Центр идентификации IAM браузеры, командную строку и мобильные интерфейсы?

Да, вы можете использовать IAM Identity Center для контроля доступа к Консоли управления AWS и CLI версии 2. IAM Identity Center позволяет пользователям использовать CLI и Консоли управления AWS с поддержкой единого входа. Приложение AWS Mobile Console также интегрируется с IAM Identity Center, поэтому вы можете одинаково входить в систему через браузер, мобильные устройства и интерфейсы командной строки.

Вопрос. Какие облачные приложения можно подключить к IAM Identity Center?

К IAM Identity Center можно подключить указанные ниже приложения.

1. Интегрированные приложения IAM Identity Center. Интегрированные приложения IAM Identity Center, такие как SageMaker Studio или IoT SiteWise, используют IAM Identity Center для аутентификации и работы с удостоверениями, которые есть в IAM Identity Center. Для синхронизации удостоверений в этих приложениях или отдельной настройки федерации не нужны дополнительные настройки.
2. Интегрированные приложения, поддерживающие SAML. IAM Identity Center имеет встроенную интеграцию для распространенных бизнес-приложений. Полный список см. в консоли IAM Identity Center.
3. Специальные приложения, поддерживающие SAML. IAM Identity Center поддерживает приложения, использующие федерацию удостоверений по стандарту SAML 2.0. Вы можете включить в IAM Identity Center поддержку этих приложений с помощью мастера пользовательских приложений.

Вопрос. Какие аккаунты AWS можно подключить к IAM Identity Center?

К IAM Identity Center можно подключить любые аккаунты AWS, управляемые с помощью сервиса Организации AWS. Чтобы предоставить доступ к аккаунту по технологии единого доступа, необходимо включить все возможности в организации.

Вопрос. Как настроить доступ по технологии единого доступа к аккаунтам AWS в организационной единице (OU) внутри организации?

Можно выбрать нужные аккаунты внутри организации или отфильтровать их по OU.

Вопрос. Что такое предоставление доверенных идентификационных данных?

Предоставление доверенных идентификационных данных основано на платформе авторизации OAuth 2.0, которая позволяет приложениям получать доступ к данным и другим ресурсам от имени конкретного пользователя без предоставления его учетных данных. Эта функция Центра идентификации IAM упрощает управление доступом к данным для пользователей и аудит, а также повышает удобство входа в систему для пользователей аналитики в нескольких аналитических приложениях AWS.

Вопрос. Почему следует предоставлять доверенные идентификационные данные?

Администраторы ресурсов и баз данных могут определять доступ к своим источникам на уровне пользователей и групп. Аудиторы могут анализировать действия пользователей во взаимосвязанных приложениях бизнес-аналитики и анализа данных. Пользователи приложений бизнес-аналитики могут пройти аутентификацию один раз для доступа к источникам данных AWS. Предоставление доверенных идентификационных данных помогает клиентам соблюдать требования к доступу к данным с наименьшими привилегиями в аналитических рабочих процессах, охватывающих несколько приложений и сервисов AWS, таких как Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena и AWS LakeFormation. 

Вопрос. Каковы основные варианты использования предоставления доверенных идентификационных данных?

Основное применение предоставления доверенных данных заключается в том, чтобы приложения бизнес-аналитики (BI) могли запрашивать у аналитических сервисов AWS, таких как Amazon Redshift или Amazon Quicksight, данные, необходимые бизнес-пользователям при входе в систему одного пользователя (сохраняя при этом информацию о его личности) через существующего поставщика идентификационных данных клиента. Эта возможность поддерживает различные типы часто используемых приложений бизнес-аналитики и применяет различные механизмы для распространения идентификационных данных пользователя между сервисами.

Вопрос. Как контролировать разрешения пользователей, когда они используют Центр идентификации IAM для доступа к своим аккаунтам?

При предоставлении доступа можно ограничить разрешения пользователей, выбрав набор разрешений. Набор разрешений – это группа разрешений, которую можно создать в IAM Identity Center по образцу политик для должностных обязанностей, управляемых AWS, или любых других управляемых политик AWS. Управляемые политики AWS для должностных обязанностей предназначены для максимального соответствия распространенным должностным обязанностям в ИТ-отрасли. При необходимости можно полностью перенастроить набор разрешений, чтобы соответствовать требованиям безопасности. IAM Identity Center автоматически применяет эти разрешения к выбранным аккаунтам. После настройки IAM Identity Center позволяет легко применять наборы разрешений к соответствующим аккаунтам. Когда пользователи получают доступ к аккаунтам через пользовательский портал AWS, эти ограничения задают рамки действий пользователей в аккаунтах. Можно предоставить пользователям несколько наборов разрешений. Тогда при доступе к аккаунтам через пользовательский портал пользователи смогут выбрать, какой набор разрешений использовать для текущего сеанса.

Вопрос. Как автоматизировать управление разрешениями в нескольких аккаунтах?

IAM Identity Center обеспечивает поддержку интерфейсов API и AWS CloudFormation для автоматизации управления разрешениями в средах с несколькими аккаунтами, а также получения разрешений программными средствами в целях аудита и управления.

Вопрос. Как выбрать атрибуты, которые необходимо использовать для ABAC?

Для внедрения ABAC можно выбрать атрибуты из публичных удостоверений Центра идентификационных IAM для пользователей Центра идентификации IAM и пользователей, синхронизированных с Microsoft AD, или внешних поставщиков удостоверений SAML 2.0, включая Okta Universal Directory, Microsoft Entra ID (Azure AD), OneLogin и PingFederate. Если использовать внешнего поставщика удостоверений в качестве источника удостоверений, атрибуты можно опционально отправлять как часть утверждения SAML 2.0.

Вопрос. Для каких аккаунтов AWS можно получить данные для доступа к интерфейсу командной строки (CLI) AWS?

Данные для доступа к интерфейсу командной строки (CLI) AWS можно получить для любых аккаунтов AWS и разрешений пользователя, назначенных администратором IAM Identity Center. Эти данные для доступа к CLI могут использоваться для программного доступа к аккаунту AWS.

Вопрос. Как долго действительны учетные данные AWS CLI с портала доступа AWS?

Данные для доступа к AWS CLI, полученные через IAM Identity Center, действительны в течение 60 минут. Новый набор данных для доступа можно запросить без ограничений, как только потребуется.

Вопрос. Как настроить доступ через IAM Identity Center к бизнес-приложениям (например, Salesforce)?

Перейдите из консоли IAM Identity Center к панели приложений, выберите пункт Configure new application (Настроить новое приложение), а потом – одно из списка облачных приложений, заранее интегрированных с IAM Identity Center. Следуйте инструкциям на экране, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, а затем – пункт Assign Access (Предоставить доступ) для завершения процесса.

Вопрос. В компании используются бизнес-приложения, которые отсутствуют в списке заранее интегрированных с IAM Identity Center. Могу ли я использовать IAM Identity Center?

Да. Если приложение поддерживает SAML 2.0, его можно настроить как специальное приложение SAML 2.0. Перейдите из консоли IAM Identity Center к панели приложений, выберите пункт Configure new application (Настроить новое приложение), затем пункт Custom SAML 2.0 application (Специальное приложение SAML 2.0). Следуйте инструкциям, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт Assign Access (Предоставить доступ) для завершения процесса.

Вопрос. Мое приложение поддерживает только OpenID Connect (OIDC). Могу ли я использовать IAM Identity Center?

Нет. IAM Identity Center поддерживает только приложения на основе SAML 2.0.

Вопрос. Поддерживает ли IAM Identity Center технологию единого входа для встроенных мобильных приложений и приложений рабочего стола?

Нет. IAM Identity Center поддерживает только технологию единого входа в бизнес-приложения через веб-браузеры.

Вопрос. Какие данные IAM Identity Center будет хранить от моего имени?

IAM Identity Center сохраняет данные о назначении аккаунтов AWS и облачных приложений пользователям и группам, а также о том, какие разрешения предоставлены для доступа к аккаунтам AWS. IAM Identity Center создает роли IAM для каждого набора разрешений на доступ, созданного для пользователей, и управляет этими ролями в каждом аккаунте AWS.

Вопрос. Какие возможности многофакторной аутентификации (MFA) можно использовать с IAM Identity Center?

С помощью IAM Identity Center вы также можете использовать возможности строгой аутентификации на основе стандартов для всех пользователей во всех источниках удостоверений. Если вы используете источник удостоверений с поддержкой SAML 2.0 IdP, вы можете включить многофакторную аутентификацию, предоставляемую вашим поставщиком. Если вы используете Active Directory или IAM Identity Center в качестве источника идентификации, IAM Identity Center поддерживает спецификацию веб-аутентификации, что обеспечивает возможность защиты доступа пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, например Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP).

Вы также можете использовать существующую конфигурацию многофакторной аутентификации на базе удаленной аутентификации пользователей (RADIUS) в качестве второй формы подтверждения личности пользователей при входе в IAM Identity Center и Сервис каталогов AWS. Чтобы узнать больше о настройке MFA в IAM Identity Center, посетите эту страницу.

Вопрос. IAM Identity Center поддерживает спецификацию веб-аутентификации?

Да. Для удостоверений пользователей из списка публичных удостоверений IAM Identity Center и Active Directory IAM Identity Center поддерживает спецификацию веб-аутентификации (WebAuthn), что обеспечивает возможность защиты доступа пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, например Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP).

Вопрос. Как сотрудникам компании начать работу с IAM Identity Center?

Для начала работы с IAM Identity Center сотрудникам нужно перейти в портал доступа IAM Identity Center, который создается при настройке источника удостоверений в IAM Identity Center. Если вы управляете пользователями в IAM Identity Center, ваши сотрудники могут использовать адрес электронной почты и пароль, использованные при настройке IAM Identity Center, для входа в пользовательский портал. Если вы подключите IAM Identity Center к Microsoft Active Directory или поставщику удостоверений SAML 2.0, ваши сотрудники могут выполнить вход в пользовательский портал с существующими корпоративными учетными данными, а затем просмотреть доступные им аккаунты и приложения. Для доступа к аккаунту или приложению сотруднику необходимо выбрать соответствующий значок в пользовательском портале IAM Identity Center.

Вопрос. Существует ли API, доступное для IAM Identity Center?

Да. IAM Identity Center предоставляет API назначения аккаунтов, чтобы помочь автоматизировать управление разрешениями в средах с несколькими аккаунтами, а также программными средствами получать разрешения в целях аудита и управления.